米国 H. R. 5440 重要インフラのためのサイバーインシデント報告法案が下院で可決
こんにちは、丸山満彦です。
H. R. 5440 重要インフラのためのサイバーインシデント報告法案が下院で可決されたようですね。。。下院の国土安全保障委員会 (Committee on Homeland Security) のウェブページで発表されていました。。。
上院と下院でよく似た法案が可決されていますね。。。詳細に比較していないのですが、、、矛盾するところがあれば最終的には調整されて統合されるのでしょうかね。。。
● Committee on Homeland Security
・2022.03.10 THOMPSON, KATKO, CLARKE, GARBARINO LAUD CYBER INCIDENT REPORTING PASSAGE
THOMPSON, KATKO, CLARKE, GARBARINO LAUD CYBER INCIDENT REPORTING PASSAGE | トンプソン、カトコ、クラーク、ガバリノ、サイバーインシデント報告法案の通過を報告 |
(WASHINGTON) – Today, Rep. Bennie G. Thompson (D-MS), Chairman of the Committee on Homeland Security, Rep. John Katko (R-NY), Ranking Member of the Committee on Homeland Security, Rep. Yvette D. Clarke (D-NY), Chairwoman of the Cybersecurity, Infrastructure Protection, & Innovation Subcommittee, and Rep. Andrew Garbarino (R-NY), Ranking Member of the Cybersecurity, Infrastructure Protection, & Innovation Subcommittee, released the below joint statement on cyber incident reporting passing the House. | (ワシントン)-本日、国土安全保障委員会議長のベニー・G・トンプソン議員(民主党)、同委員会ランキング委員のジョン・カトコ議員(ニューヨーク州)、サイバーセキュリティ、インフラ保護、イノベーション小委員会議長のイヴェット・D・クラーク議員(ニューヨーク州)、サイバーセキュリティ、インフラ保護、イノベーション小委員会ランキング委員のアンドリュー・ガルバリノ議員(ニューヨーク州)は、下院通過のサイバーインシデント報告法案について以下の共同声明を発表した。 |
"Last night, the House took bold action to secure U.S. critical infrastructure against 21st century threats by requiring critical infrastructure owners and operators to report cyber incidents to the DHS Cybersecurity and Infrastructure Security Agency (CISA). The Cyber Incident Reporting for Critical Infrastructure Act, included within the Consolidated Appropriations Act, 2022, is one of the most significant pieces of cybersecurity legislation in the past decade. Requiring owners and operators to report significant cyber incidents and ransomware attacks to CISA will mean greater visibility for the Federal government, earlier disruption of malicious cyber campaigns, and better information and threat intelligence going back out to the private sector so they can defend against future attacks. The authorities and resources provided in this bill can’t come soon enough, as CISA works to combat rapidly evolving cyber threats in this shifting geopolitical landscape. Passage of this legislation further solidifies Congress’ intent that CISA is the lead Federal agency for cybersecurity.” | 「昨夜、下院は、21世紀の脅威から米国の重要インフラを守るため、重要インフラの所有者および運営者にDHSサイバーセキュリティ・インフラ安全保障局(CISA)へのサイバーインシデント報告を義務付けるという大きな決断をしました。2022年連結歳出法に含まれる重要インフラのためのサイバーインシデント報告法案は、過去10年間で最も重要なサイバーセキュリティ関連法案の1つです。重要なサイバーインシデントやランサムウェア攻撃をCISAに報告することを所有者や運営者に義務付けることは、連邦政府にとって可視性の向上、悪質なサイバーキャンペーンの早期破壊、そして民間部門に還元される情報と脅威情報の改善により、今後の攻撃を防御することが可能になることを意味します。この法案で提供される権限とリソースは、地政学的な状況が変化する中で急速に進化するサイバー脅威に対抗するCISAの活動にとって、すぐには手に入らないものです。この法案の可決は、CISAがサイバーセキュリティの主要な連邦機関であるという議会の意思をさらに強固にするものです。」 |
“This legislation is years in the making, and is a product of rigorous bipartisan, bicameral negotiation informed by significant consultation with the Administration and the private sector, who deserve credit for coming to the table to work with us. Our work is not done, but this legislation is a major step forward.” | 「この法律は何年もかけて作られたもので、超党派の二院合同による厳格な交渉の成果であり、政権や民間企業との重要な協議を経て、我々と協力するためにテーブルについたことは称賛に値することです。我々の仕事はまだ終わっていませんが、この法案は大きな前進です。」 |
● Congress
・提出者:Rep. Clarke, Yvette D. [D-NY-9] 下院議員[wikipedia]
・H.R.5440 - Cyber Incident Reporting for Critical Infrastructure Act of 2021
・2021.09.30 法案(XML/HTML, TXT, PDF)
H. R. 5440 | H. R. 5440 |
To amend the Homeland Security Act of 2002 to establish the Cyber Incident Review Office in the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security, and for other purposes. | 国土安全保障省のサイバーセキュリティおよびインフラセキュリティ庁にサイバーインシデント審査室を設置すること、およびその他の目的のために2002年国土安全保障法を修正する。 |
IN THE HOUSE OF REPRESENTATIVES | 下院 |
30-Sep-21 | 9月30日-21日 |
Ms. Clarke of New York (for herself, Mr. Katko, Mr. Thompson of Mississippi, and Mr. Garbarino) introduced the following bill; which was referred to the Committee on Homeland Security | ニューヨークのクラーク氏(本人、カトコ氏、ミシシッピ州のトンプソン氏、ガルバリノ氏の代理)は、以下の法案を提出し、国土安全保障委員会に付託された。 |
A BILL | 議案 |
To amend the Homeland Security Act of 2002 to establish the Cyber Incident Review Office in the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security, and for other purposes. | 国土安全保障省のサイバーセキュリティおよびインフラセキュリティ庁にサイバーインシデント審査室を設置すること、およびその他の目的のために2002年国土安全保障法を修正する。 |
Be it enacted by the Senate and House of Representatives of the United States of America in Congress assembled, | アメリカ合衆国議会の上院と下院によって制定される。 |
SECTION 1. SHORT TITLE. | 第1条 短い法律名。 |
This Act may be cited as the “Cyber Incident Reporting for Critical Infrastructure Act of 2021”. | 本法は、「2021年重要インフラ向けサイバーインシデント報告法」と称する。 |
SEC. 2. CYBER INCIDENT REVIEW OFFICE. | 第2条 サイバー・インシデント審査室 |
(a) In General.—Subtitle A of title XXII of the Homeland Security Act of 2002 (6 U.S.C. 651 et seq.) is amended by adding at the end the following new section: | (a) 一般に-2002年国土安全保障法(6 U.S.C. 651 et seq.)のタイトルXXIIのサブタイトルAは、以下の新セクションを末尾に追加することにより修正される。 |
SEC. 2220A. CYBER INCIDENT REVIEW OFFICE. | SEC. 2220A. サイバーインシデント審査室 |
(a) Definitions.—In this section: | (a) 定義 本条において、以下の通り定義する。 |
(1) CLOUD SERVICE PROVIDER.—The term ‘cloud service provider’ means an entity offering products or services related to cloud computing, as defined by the National Institutes of Standards and Technology in NIST Special Publication 800–145 and any amendatory or superseding document relating thereto. | (1) クラウドサービスプロバイダ:「クラウドサービスプロバイダ」という用語は、NIST Special Publication 800-145およびそれに関連する修正または代替文書においてNational Institutes of Standards and Technologyが定義する、クラウドコンピューティングに関する製品またはサービスを提供する事業者を意味する。 |
(2) COVERED ENTITY.—The term ‘covered entity’ means an entity that owns or operates critical infrastructure that satisfies the definition established by the Director in the reporting requirements and procedures issued pursuant to subsection (d). | (2) 対象事業者:「対象事業者」とは、重要インフラを所有または運用する事業者で、第(d)項に従って発行された報告要件および手順において局長が定めた定義を満たす事業者を意味する。 |
(3) COVERED CYBSECURITY INCIDENT.—The term ‘covered cybersecurity incident’ means a cybersecurity incident experienced by a covered entity that satisfies the definition and criteria established by the Director in the reporting requirements and procedures issued pursuant to subsection (d). | (3) 対象サイバーセキュリティインシデント:「対象サイバーセキュリティインシデント」とは、対象事業者が経験したサイバーセキュリティインシデントで、第(d)項に従って発行された報告要件および手続きにおいて局長が確立した定義および基準を満足するものを意味する。 |
(4) CYBER THREAT INDICATOR.—The term ‘cyber threat indicator’ has the meaning given such term in section 102 of the Cybersecurity Act of 2015 (enacted as division N of the Consolidated Appropriations Act, 2016 (Public Law 114–113; 6 U.S.C. 1501)). | (4) サイバー脅威指標(CYBER THREAT INDICATOR)-「サイバー脅威指標」という用語は、2015年サイバーセキュリティ法(2016年連結歳出法(公法114-113;6 U.S.C. 1501)の部門Nとして制定)の第102節において当該用語に与えられた意味を有している。 |
(5) CYBERSECURITY PURPOSE.—The term ‘cybersecurity purpose’ has the meaning given such term in section 102 of the Cybersecurity Act of 2015 (enacted as division N of the Consolidated Appropriations Act, 2016 (Public Law 114–113; 6 U.S.C. 1501)). | (5) サイバーセキュリティ目的(CYBERSECURITY PURPOSE)-「サイバーセキュリティ目的」という用語は、2015年のサイバーセキュリティ法(2016年の連結歳出法(公法114-113;6 U.S.C. 1501)の第N部門として制定)の第102条において当該用語が与えられた意味を有する。 |
(6) CYBERSECURITY THREAT.—The term ‘cybersecurity threat’ has the meaning given such term in section 102 of the Cybersecurity Act of 2015 (enacted as division N of the Consolidated Appropriations Act, 2016 (Public Law 114–113; 6 U.S.C. 1501)). | (6) サイバーセキュリティ脅威(CYBERSECURITY THREAT)-「サイバーセキュリティ脅威」という用語は、2015年サイバーセキュリティ法(2016年連結歳出法(公法114-113;6 U.S.C. 1501)の第N部門として制定)の第102条にこの用語が与えられた意味を有する。 |
(7) DEFENSIVE MEASURE.—The term ‘defensive measure’ has the meaning given such term in section 102 of the Cybersecurity Act of 2015 (enacted as division N of the Consolidated Appropriations Act, 2016 (Public Law 114–113; 6 U.S.C. 1501)). | (7) 防御的措置(DEFENSIVE MEASURE)-「防御的措置」という用語は、2015年サイバーセキュリティ法(2016年連結歳出法(公法114-113;6 U.S.C. 1501)の第N部門として制定)の第102条にその用語が与えられた意味を有する。 |
(8) INFORMATION SHARING AND ANALYSIS ORGANIZATION.—The term ‘Information Sharing and Analysis Organization’ has the meaning given such term in section 2222(5). | (8) 情報共有・分析組織(Information Sharing and Analysis Organization)-「情報共有・分析組織」という用語は、第2222条(5)において当該用語に与えられている意味を有する。 |
(9) INFORMATION SYSTEM.—The term ‘information system’ has the meaning given such term in section 102 of the Cybersecurity Act of 2015 (enacted as division N of the Consolidated Appropriations Act, 2016 (Public Law 114–113; 6 U.S.C. 1501(9)). | (9) 情報システム(information system)-「情報システム」という用語は、2015年サイバーセキュリティ法(2016年連結歳出法(公法114-113;6 U.S.C. 1501(9))の部門Nとして制定)の第102条に示されるその用語の意味を有する。 |
(11) MANAGED SERVICE PROVIDER.—The term ‘managed service provider’ means an entity that delivers services, such as network, application, infrastructure, or security services, via ongoing and regular support and active administration on customers’ premises, in the managed service provider’s data center (such as hosting), or in a third-party data center. | (11) マネージドサービスプロバイダ(Managed Service Provider)という用語は、ネットワーク、アプリケーション、インフラ、またはセキュリティサービスなどのサービスを、顧客の敷地内、マネージドサービスプロバイダのデータセンター(ホスティングなど)、または第三者のデータセンターで継続的かつ定期的にサポートと能動的管理によって提供する事業者を指す。 |
(12) SECURITY CONTROL.—The term ‘security control’ has the meaning given such term in section 102 of the Cybersecurity Act of 2015 (enacted as division N of the Consolidated Appropriations Act, 2016 (Public Law 114–113; 6 U.S.C. 1501)). | (12) Security Control.-「セキュリティ制御」という用語は、2015年サイバーセキュリティ法(2016年連結歳出法(公法114-113;6 U.S.C. 1501)の部門Nとして制定)の第102条において当該用語に与えられた意味を有する。 |
(13) SECURITY VULNERABILITY.—The term ‘security vulnerability’ has the meaning given such term in section 102 of the Cybersecurity Act of 2015 (enacted as division N of the Consolidated Appropriations Act, 2016 (Public Law 114–113; 6 U.S.C. 1501)). | (13) セキュリティ脆弱性(SECURITY VULNERABILITY)-「セキュリティ脆弱性」という用語は、2015年サイバーセキュリティ法(2016年連結歳出法(公法114-113;6 U.S.C. 1501)の第N部門として制定された)102条にその用語が与えられた意味を有する。 |
(14) SIGNIFICANT CYBER INCIDENT.—The term ‘significant cyber incident’ means a cyber incident, or a group of related cyber incidents, that the Director determines is likely to result in demonstrable harm to the national security interests, foreign relations, or economy of the United States or to the public confidence, civil liberties, or public health and safety of the American people. | (14) 重大なサイバーインシデント(SIGNIFICANT CYBER INCIDENT)-「重大なサイバーインシデント」とは、米国の国家安全保障上の利益、外交関係、経済、または米国民の公信、市民の自由、公衆衛生および安全に実証的な損害を与える可能性があると長官が判断したサイバーインシデント、または関連するサイバーインシデントの一群のことを意味する。 |
(15) SUPPLY CHAIN ATTACK.—The term ‘supply chain attack’ means an attack that allows an adversary to utilize implants or other vulnerabilities inserted into information technology hardware, software, operating systems, peripherals (such as information technology products), or services at any point during the life cycle in order to infiltrate the networks of third parties where such products, services, or technologies are deployed. | (15) サプライチェーン攻撃(SUPPLY CHAIN ATTACK):「サプライチェーン攻撃」という用語は、敵対者が、情報技術のハードウェア、ソフトウェア、オペレーティングシステム、周辺機器(情報技術製品など)、またはサービスのライフサイクルの任意の時点で、当該製品、サービス、または技術が展開されている第三者のネットワークに侵入するために挿入するインプラントまたは他の脆弱性を利用できる攻撃をいう。 |
(b) Cyber Incident Review Office.—There is established in the Agency a Cyber Incident Review Office (in this section referred to as the ‘Office’) to receive, aggregate, and analyze reports related to covered cybersecurity incidents submitted by covered entities in furtherance of the activities specified in subsection (c) of this section and sections 2202(e), 2209(c), and 2203 to enhance the situational awareness of cybersecurity threats across critical infrastructure sectors. | (b) サイバーインシデント審査室:重要インフラ部門全体のサイバーセキュリティ脅威の状況認識を強化するために、本節(c)および2202条(e)、2209条(c)、2203条に規定される活動を推進するために、対象事業者が提出する対象サイバーセキュリティインシデントに関する報告を受領、集約、分析するために、庁内にサイバーインシデント審査室(本節では「審査室」と呼ぶ)が設立されています。 |
(c) Activities.—The Office shall, in furtherance of the activities specified in sections 2202(e), 2209(c), and 2203— | (c) 活動:審査室は、第 2202 条(e)、第 2209 条(c)、および第 2203 条に規定される活動を推進するために、以下の活動を行う。 |
(1) receive, aggregate, analyze, and secure reports from covered entities related to a covered cybersecurity incident to assess the effectiveness of security controls and identify tactics, techniques, and procedures adversaries use to overcome such controls; | (1) セキュリティ管理の有効性を評価し、敵対者がそのような管理を克服するために用いる戦術、技術、手順を特定するために、対象となるサイバーセキュリティインシデントに関連する対象事業者からの報告を受け、集計、分析し、確保すること。 |
(2) facilitate the timely sharing between relevant critical infrastructure owners and operators and, as appropriate, the intelligence community of information relating to covered cybersecurity incidents, particularly with respect to an ongoing cybersecurity threat or security vulnerability; | (2) 特に継続的なサイバーセキュリティの脅威またはセキュリティの脆弱性に関して、対象となるサイバーセキュリティインシデントに関連する情報を、関連する重要インフラの所有者および運営者と、必要に応じて情報コミュニティとの間で適時に共有することを促進すること。 |
(3) for a covered cybersecurity incident that also satisfies the definition of a significant cyber incident, or are part of a group of related cyber incidents that together satisfy such definition, conduct a review of the details surrounding such covered cybersecurity incident or group of such incidents and identify ways to prevent or mitigate similar incidents in the future; | (3) 重要なサイバーインシデントの定義も満たす、または共に当該定義を満たす関連するサイバーインシデント群の一部である対象サイバーセキュリティインシデントについては、当該対象サイバーセキュリティインシデントまたは当該インシデント群を取り巻く詳細について審査を行い、将来における同様のインシデントを防止または軽減する方法を特定すること。 |
(4) with respect to covered cybersecurity incident reports under subsection (d) involving an ongoing cybersecurity threat or security vulnerability, immediately review such reports for cyber threat indicators that can be anonymized and disseminated, with defensive measures, to appropriate stakeholders, in coordination with other Divisions within the Agency, as appropriate; | (4) 継続的なサイバーセキュリティの脅威またはセキュリティの脆弱性に関わる (d) 項に基づく対象サイバーセキュリティインシデント報告に関して、適切な場合、庁内の他の部門と連携して、匿名化し、防御措置を講じて適切な利害関係者に広めることができるサイバー脅威指標を当該報告について直ちに審査すること。 |
(5) publish quarterly unclassified, public reports that describe aggregated, anonymized observations, findings, and recommendations based on covered cybersecurity incident reports under subsection (d); | (5) (d)項に基づく対象となるサイバーセキュリティインシデント報告書に基づき、集約され匿名化された観察、所見、及び勧告を記載した非公開の公開報告書を四半期ごとに発行すること。 |
(6) leverage information gathered regarding cybersecurity incidents to enhance the quality and effectiveness of bi-directional information sharing and coordination efforts with appropriate stakeholders, including sector coordinating councils, information sharing and analysis organizations, technology providers, cybersecurity and incident response firms, and security researchers, including by establishing mechanisms to receive feedback from such stakeholders regarding how the Agency can most effectively support private sector cybersecurity; and | (6) サイバーセキュリティインシデントに関して収集された情報を活用して、省庁が民間部門のサイバーセキュリティを最も効果的に支援する方法に関して当該関係者からフィードバックを受ける仕組みを確立することを含め、部門調整会議、情報共有・分析組織、技術プロバイダ、サイバーセキュリティおよびインシデント対応企業、セキュリティ研究者など適切な関係者との双方向情報共有および調整の取り組みの質と効果を向上させること、および |
(7) proactively identify opportunities, in accordance with the protections specified in subsections (e) and (f), to leverage and utilize data on cybersecurity incidents in a manner that enables and strengthens cybersecurity research carried out by academic institutions and other private sector organizations, to the greatest extent practicable. | (7) (e)項および(f)項に規定された保護に従って、学術機関およびその他の民間組織が実施するサイバーセキュリティ研究を可能にし、強化する方法でサイバーセキュリティインシデントのデータを活用する機会を、実行可能な範囲で積極的に特定すること。 |
(d) Covered Cybersecurity Incident Reporting Requirements And Procedures.— | (d) 対象となるサイバーセキュリティインシデントの報告要件及び手続。 |
(1) IN GENERAL.—Not later than 270 days after the date of the enactment of this section, the Director, in consultation with Sector Risk Management Agencies and the heads of other Federal departments and agencies, as appropriate, shall, after a 60 day consultative period, followed by a 90 day comment period with appropriate stakeholders, including sector coordinating councils, publish in the Federal Register an interim final rule implementing this section. Notwithstanding section 553 of title 5, United States Code, such rule shall be effective, on an interim basis, immediately upon publication, but may be subject to change and revision after public notice and opportunity for comment. The Director shall issue a final rule not later than one year after publication of such interim final rule. Such interim final rule shall— | (1) 一般に、本節の制定日から270日以内に、長官は、セクターリスク管理機関および他の連邦省庁の長との適切な協議を経て、60日間の協議期間と、セクター調整評議会を含む適切な利害関係者との90日間の意見聴取期間を経て、本節を実施する中間最終規則を連邦官報に公布するものとする。合衆国法典第 5 編第 553 条にかかわらず、当該規則は暫定的に、公表後直ちに効力を発するが、公告および意見公募後、変更および改訂される場合がある。長官は、かかる暫定最終規則の公表から1年以内に最終規則を発行するものとする。当該中間最終規則は以下の通りである。 |
(A) require covered entities to submit to the Office reports containing information relating to covered cybersecurity incidents; and | (A) 対象事業者は、対象となるサイバーセキュリティインシデントに関連する情報を含む報告書を事務局に提出することを義務付けます。 |
(B) establish procedures that clearly describe— | (B) 以下の事項を明確に記述する手順を確立すること。 |
(i) the types of critical infrastructure entities determined to be covered entities; | (i) 対象事業者と判断される重要インフラ事業者の種類。 |
(ii) the types of cybersecurity incidents determined to be covered cybersecurity incidents; | (ii) 対象となるサイバーセキュリティインシデントと判断されるサイバーセキュリティインシデントの種類。 |
(iii) the mechanisms by which covered cybersecurity incident reports under subparagraph (A) are to be submitted, including— | (iii)サブパラグラフ(A)に基づく対象サイバーセキュリティインシデント報告書が提出されるメカニズム、以下を含む。 |
(I) the contents, described in paragraph (4), to be included in each such report, including any supplemental reporting requirements; | (I) (4)項に記載されている、各報告書に含まれるべき内容(補足的な報告要件を含む)。 |
(II) the timing relating to when each such report should be submitted; and | (II) 各報告書の提出時期。 |
(III) the format of each such report; | (III) 各報告書の書式。 |
(iv) describe the manner in which the Office will carry out enforcement actions under subsection (g), including with respect to the issuance of subpoenas, conducting examinations, and other aspects relating to noncompliance; and | (iv) 召喚状の発行、審査の実施、その他コンプライアンス違反に関する事項を含め、国内官庁が (g) 項に基づく強制措置を実施する方法について説明すること。 |
(v) any other responsibilities to be carried out by covered entities, or other procedures necessary to implement this section. | (v) 対象事業者が果たすべきその他の責任、または本節を実施するために必要なその他の手続き。 |
(2) COVERED ENTITIES.—In determining which types of critical infrastructure entities are covered entities for purposes of this section, the Secretary, acting through the Director, in consultation with Sector Risk Management Agencies and the heads of other Federal departments and agencies, as appropriate, shall consider— | (2) 対象事業者:重要インフラ事業者のどのタイプが本節における対象事業者であるかを決定する際、長官は長官を通じて、必要に応じてセクターリスク管理機関および他の連邦省庁の長と協議し、以下を考慮するものとする。 |
(A) the consequences that disruption to or compromise of such an entity could cause to national security, economic security, or public health and safety; | (A) そのような団体の混乱または危殆化が、国家安全保障、経済安全保障、または公衆衛生および安全性に及ぼし得る結果。 |
(B) the likelihood that such an entity may be targeted by a malicious cyber actor, including a foreign country; | (B) 当該事業体が、外国を含む悪意のあるサイバー行為者に狙われる可能性。 |
(C) the extent to which damage, disruption, or unauthorized access to such and entity will disrupt the reliable operation of other critical infrastructure assets; and | (C) 当該事業体への損害、混乱又は不正アクセスが、他の重要インフラ資産の信頼できる運用をどの程度混乱させるか。 |
(D) the extent to which an entity or sector is subject to existing regulatory requirements to report cybersecurity incidents, and the possibility of coordination and sharing of reports between the Office and the regulatory authority to which such entity submits such other reports. | (D) 企業または部門がサイバーセキュリティインシデントを報告する既存の規制要件の対象となる範囲、および、事務局と当該企業が他の報告書を提出する規制当局との間の報告書の調整および共有の可能性。 |
(3) OUTREACH TO COVERED ENTITIES.— | (3) 対象事業者に対するアウトリーチ |
(A) IN GENERAL.—The Director shall conduct an outreach and education campaign to inform covered entities of the requirements of this section. | (A) 全般:局長は、対象事業者に本節の要件を知らせるために、アウトリーチ及び教育キャンペーンを実施するものとする。 |
(B) ELEMENTS.—The outreach and education campaign under subparagraph (A) shall include the following: | (B)要素-(A)号に基づくアウトリーチおよび教育キャンペーンは、以下を含むものとする。 |
(i) Overview of the interim final rule and final rule issued pursuant to this section. | (i)本節に基づき発行された中間最終規則および最終規則の概要。 |
(ii) Overview of reporting requirements and procedures issued pursuant to paragraph (1). | (ii) 第(1)項に従って発行された報告要件および手続きの概要。 |
(iii) Overview of mechanisms to submit to the Office covered cybersecurity incident reports and information relating to the disclosure, retention, and use of incident reports under this section. | (iii) 本条に基づき、対象となるサイバーセキュリティインシデント報告書及びインシデント報告書の開示、保管及び使用に関連する情報を事務局に提出する仕組みの概要。 |
(iv) Overview of the protections afforded to covered entities for complying with requirements under subsection (f). | (iv) (f)項に基づく要件を遵守するために対象事業者に与えられている保護の概要。 |
(v) Overview of the steps taken under subsection (g) when a covered entity is not in compliance with the reporting requirements under paragraph (1). | (v) 対象事業者が(1)項に基づく報告要件を遵守していない場合に、(g)項に基づき講じられる措置の概要。 |
(C) COORDINATION.—The Director may conduct the outreach and education campaign under subparagraph (A) through coordination with the following: | (C)協調:局長は、(A)号に基づくアウトリーチおよび教育キャンペーンを、以下のものと協調して実施することができる。 |
(i) The Critical Infrastructure Partnership Advisory Council established pursuant to section 871. | (i) 第 871 条に基づき設立された重要インフラストラクチャー・パートナーシップ諮問委員会 (Critical Infrastructure Partnership Advisory Council) |
(ii) Information Sharing and Analysis Organizations. | (ii) 情報共有・分析組織。 |
(iii) Any other means the Director determines to be effective to conduct such campaign. | (iii) 局長が当該キャンペーンを実施するために効果的であると判断した他の手段。 |
(4) COVERED CYBERSECURITY INCIDENTS.— | (4) 対象となるサイバーセキュリティインシデント。 |
(A) CONSIDERATIONS.—In accordance with subparagraph (B), in determining which types of incidents are covered cybersecurity incidents for purposes of this section, the Director shall consider— | (A) 考慮事項:(B)項に従い、本節の目的上、どの種類のインシデントが対象となるサイバーセキュリティインシデントであるかを決定する際に、局長は以下を考慮するものとする。 |
(i) the sophistication or novelty of the tactics used to perpetrate such an incident, as well as the type, volume, and sensitivity of the data at issue; | (i) かかるインシデントを実行するために使用された戦術の洗練性または新規性、ならびに問題となったデータの種類、量、および機密性。 |
(ii) the number of individuals directly or indirectly affected or potentially affected by such an incident; and | (ii)当該インシデントにより直接的又は間接的に影響を受ける又は受ける可能性のある個人の数。 |
(iii) potential impacts on industrial control systems, such as supervisory control and data acquisition systems, distributed control systems, and programmable logic controllers. | (iii) 監視制御およびデータ収集システム、分散制御システム、プログラマブルロジックコントローラなどの産業用制御システムに対する潜在的影響。 |
(B) MINIMUM THRESHOLDS.—For a cybersecurity incident to be considered a covered cybersecurity incident a cybersecurity incident shall, at a minimum, include at least one of the following: | (B)最低基準値:サイバーセキュリティインシデントが対象となるサイバーセキュリティインシデントと見なされるためには、サイバーセキュリティインシデントは、最低限、以下のうち一つを含まなければならない。 |
(i) Unauthorized access to an information system or network that leads to loss of confidentiality, integrity, or availability of such information system or network, or has a serious impact on the safety and resiliency of operational systems and processes. | (i) 情報システム又はネットワークへの不正アクセスであって、当該情報システム又はネットワークの機密性、完全性又は可用性の喪失につながるもの、又は運用システム及びプロセスの安全性及び回復力に重大な影響を与えるもの。 |
(ii) Disruption of business or industrial operations due to a denial of service attack, a ransomware attack, or exploitation of a zero-day vulnerability, against— | (ii) サービス妨害攻撃、ランサムウェア攻撃、ゼロデイ脆弱性の悪用による事業又は産業運営の混乱。 |
(I) an information system or network; or | (I) 情報システムまたはネットワーク、または |
(II) an operational technology system or process. | (II)運用技術システムまたはプロセス。 |
(iii) Unauthorized access or disruption of business or industrial operations due to loss of service facilitated through, or caused by a compromise of, a cloud service provider, managed service provider, other third-party data hosting provider, or supply chain attack. | (iii) クラウドサービスプロバイダ、マネージドサービスプロバイダ、その他の第三者データホスティングプロバイダ、またはサプライチェーン攻撃を通じて促進された、またはそれらの侵害によって引き起こされたサービスの損失による、事業または産業運営の不正アクセスまたは混乱。 |
(5) REPORTS.— | (5) 報告 |
(A) TIMING.— | (A) 時期 |
(i) IN GENERAL.—The Director, in consultation with Sector Risk Management Agencies and the heads of other Federal departments and agencies, as appropriate, shall establish reporting timelines for covered entities to submit promptly to the Office covered cybersecurity incident reports, as the Director determines reasonable and appropriate based on relevant factors, such as the nature, severity, and complexity of the covered cybersecurity incident at issue and the time required for investigation, but in no case may the Director require reporting by a covered entity earlier than 72 hours after confirmation that a covered cybersecurity incident has occurred. | (i) 一般的に、局長は、必要に応じて、セクターリスク管理機関および他の連邦省庁の長と協議の上、問題となる対象サイバーセキュリティインシデントの性質、重大性、および複雑さ、ならびに調査に要する時間などの関連要因に基づき局長が妥当かつ適切とみなすように、対象事業者が局に対して対象サイバーセキュリティインシデント報告を速やかに提出するための報告タイムラインを設定するが、いかなる場合も、局は対象サイバーセキュリティインシデントの発生確認後72時間より早く、被影響事業者による報告義務を課してはならないものとする。 |
(ii) CONSIDERATIONS.—In determining reporting timelines under clause (i), the Director shall— | (ii) 考慮事項: (i)項に基づく報告タイムラインを決定するにあたり、局長は、以下の事項を行うものとする。 |
(I) consider any existing regulatory reporting requirements, similar in scope purpose, and timing to the reporting requirements under this section, to which a covered entity may also be subject, and make efforts to harmonize the timing and contents of any such reports to the maximum extent practicable; and | (I) 対象事業者が従う可能性のある、本条に基づく報告要件と範囲、目的及び時期が類似した既存の規制上の報告要件を考慮し、可能な限り、かかる報告の時期及び内容を調和させるよう努力すること。 |
(II) balance the Agency’s need for situational awareness with a covered entity’s ability to conduct incident response and investigations. | (II) 状況把握の必要性と、対象事業者の事故対応・調査能力とのバランスをとること。 |
(B) THIRD-PARTY REPORTING.— | (b) 第三者への報告 |
(i) IN GENERAL.—A covered entity may submit a covered cybersecurity incident report through a third-party entity or Information Sharing and Analysis Organization. | (i)一般に、対象事業者は、第三者機関又は情報共有・分析機関を通じて、対象サイバーセキュリティインシデント報告を提出することができる。 |
(ii) DUTY TO ENSURE COMPLIANCE.—Third-party reporting under this subparagraph does not relieve a covered entity of the duty to ensure compliance with the requirements of this paragraph. | (ii) 遵守を確保する義務 -本段落に基づく第三者報告は、本段落の要件への遵守を確保する義務を対象事業者から免除するものではない。 |
(C) SUPPLEMENTAL REPORTING.—A covered entity shall submit promptly to the Office, until such date that such covered entity notifies the Office that the cybersecurity incident investigation at issue has concluded and the associated covered cybersecurity incident has been fully mitigated and resolved, periodic updates or supplements to a previously submitted covered cybersecurity incident report if new or different information becomes available that would otherwise have been required to have been included in such previously submitted report. In determining reporting timelines, the Director may choose to establish a flexible, phased reporting timeline for covered entities to report information in a manner that aligns with investigative timelines and allows covered entities to prioritize incident response efforts over compliance. | (C) 補足報告:-対象事業者は、当該対象事業者が、問題となっているサイバーセキュリティインシデント調査が終了し、関連する対象サイバーセキュリティインシデントが完全に緩和され解決されたと事務局に通知する日まで、定期的に更新または補足を、以前に提出した対象サイバーセキュリティインシデント報告書に新しいまたは異なる情報が入手可能となった場合、当該報告書に含まれなければならなかったはずのものを速やかに事務局に提出するものとす。報告スケジュールを決定する際、局長は、対象事業者が調査スケジュールと整合し、対象事業者がコンプライアンスよりもインシデント対応努力を優先できるような方法で情報を報告するために、柔軟で段階的な報告スケジュールを確立することを選択することができます。 |
(D) CONTENTS.—Covered cybersecurity incident reports submitted pursuant to this section shall contain such information as the Director prescribes, including the following information, to the extent applicable and available, with respect to a covered cybersecurity incident: | (D)内容-本節に従って提出される対象サイバーセキュリティインシデント報告書は、対象サイバーセキュリティインシデントに関して、適用可能で利用できる範囲で、次の情報を含む局長が規定する情報を含むものとする。 |
(i) A description of the covered cybersecurity incident, including identification of the affected information systems, networks, or devices that were, or are reasonably believed to have been, affected by such incident, and the estimated date range of such incident. | (i)当該インシデントにより影響を受けた、又は影響を受けたと合理的に考えられる情報システム、ネットワーク又は装置の特定、及び当該インシデントの推定日付範囲を含む、対象となるサイバーセキュリティインシデントの説明。 |
(ii) Where applicable, a description of the vulnerabilities exploited and the security defenses that were in place, as well as the tactics, techniques, and procedures relevant to such incident. | (ii) 該当する場合、悪用された脆弱性及び実施されたセキュリティ防御、並びに当該インシデントに関連する戦術、技術及び手続きの説明。 |
(iii) Where applicable, any identifying information related to the actor reasonably believed to be responsible for such incident. | (iii) 該当する場合、当該インシデントに責任を負うと合理的に考えられる行為者に関連するあらゆる識別情報。 |
(iv) Where applicable, identification of the category or categories of information that was, or is reasonably believed to have been, accessed or acquired by an unauthorized person. | (iv) 該当する場合、権限のない者によってアクセス又は取得された、又はされたと合理的に考えられる情報のカテゴリー又はカテゴリーの識別情報。 |
(v) Contact information, such as telephone number or electronic mail address, that the Office may use to contact the covered entity or, where applicable, an authorized agent of such covered entity, or, where applicable, the service provider, acting with the express permission, and at the direction, of such covered entity, to assist with compliance with the requirements of this section. | (v) 本項の要件の遵守を支援するために、事務局が、対象事業者、該当する場合、当該対象事業者の明示的な許可及び指示により行動する当該対象事業者の認定代理人、該当する場合、サービスプロバイダーに連絡するために使用できる電話番号又は電子メールアドレス等の連絡先情報。 |
(6) RESPONSIBILITIES OF COVERED ENTITIES.—Covered entities that experience a covered cybersecurity incident shall coordinate with the Office to the extent necessary to comply with this section, and, to the extent practicable, cooperate with the Office in a manner that supports enhancing the Agency’s situational awareness of cybersecurity threats across critical infrastructure sectors. | (6) 対象事業者の責任:対象サイバーセキュリティインシデントを経験した対象事業者は、本条を遵守するために必要な範囲で事務局と連携し、また、重要インフラ部門全体におけるサイバーセキュリティ脅威に関する当局の状況認識の強化を支援する方法で、実行可能な範囲で事務局と協力するものとする。 |
(7) HARMONIZING REPORTING REQUIREMENTS.—In establishing the reporting requirements and procedures under paragraph (1), the Director shall, to the maximum extent practicable— | (7) 報告要件の調和: (1)項に基づく報告要件および手順を確立する際、局長は、実務上可能な限り、以下のことを行うものとする: (7) 報告要件の調和: (1)項に基づく報告要件および手順を確立する際、局長は、実務上可能な限り、以下のことを行うものとする: (7) 報告要件を調和させること。 |
(A) review existing regulatory requirements, including the information required in such reports, to report cybersecurity incidents that may apply to covered entities, and ensure that any such reporting requirements and procedures avoid conflicting, duplicative, or burdensome requirements; and | (A) 対象事業者に適用される可能性のあるサイバーセキュリティインシデントを報告するために、当該報告書に求められる情報を含む既存の規制要件を検討し、当該報告要件および手順が矛盾、重複、または負担となる要件を回避することを確実にすること。 |
(B) coordinate with other regulatory authorities that receive reports relating to cybersecurity incidents to identify opportunities to streamline reporting processes, and where feasible, enter into agreements with such authorities to permit the sharing of such reports with the Office, consistent with applicable law and policy, without impacting the Office’s ability to gain timely situational awareness of a covered cybersecurity incident or significant cyber incident. | (B) サイバーセキュリティインシデントに関連する報告を受ける他の規制当局と調整し、報告プロセスを合理化する機会を特定し、実行可能な場合は、適用法および政策と整合し、対象となるサイバーセキュリティインシデントまたは重大サイバーインシデントについて適時に状況認識を得る国内官庁の能力に影響を与えずに、当該官庁と当該報告の共有を許可する契約を当該官庁と締結すること。 |
(e) Disclosure, Retention, And Use Of Incident Reports.— | (e) インシデントレポートの開示、保持、および使用。 |
(1) AUTHORIZED ACTIVITIES.—No information provided to the Office in accordance with subsections (d) or (h) may be disclosed to, retained by, or used by any Federal department or agency, or any component, officer, employee, or agent of the Federal Government, except if the Director determines such disclosure, retention, or use is necessary for— | (1) 許容される活動: (d)または(h)項に従って事務局に提供された情報は、以下のために必要であると局長が判断した場合を除き、連邦省庁、連邦政府の構成員、役員、職員、代理人に開示、保持、使用されることはない。 |
(A) a cybersecurity purpose; | (A) サイバーセキュリティの目的 |
(B) the purpose of identifying— | (B) 特定する目的 |
(i) a cybersecurity threat, including the source of such threat; or | (i) サイバーセキュリティ上の脅威(当該脅威の発生源を含む)、または |
(ii) a security vulnerability; | (ii) セキュリティの脆弱性 |
(C) the purpose of responding to, or otherwise preventing, or mitigating a specific threat of— | (C) 以下の特定の脅威への対応、その他の予防または軽減の目的。 |
(i) death; | (i) 死亡 |
(ii) serious bodily harm; or | (ii) 重篤な身体的危害 |
(iii) serious economic harm, including a terrorist act or a use of a weapon of mass destruction; | (iii) テロ行為や大量破壊兵器の使用など、深刻な経済的被害。 |
(D) the purpose of responding to, investigating, prosecuting, or otherwise preventing or mitigating a serious threat to a minor, including sexual exploitation or threats to physical safety; or | (D) 未成年者に対する重大な脅威(性的搾取または身体の安全に対する脅威を含む)への対応、調査、訴追、またはその他の予防もしくは軽減を目的とする場合 |
(E) the purpose of preventing, investigating, disrupting, or prosecuting an offense related to a threat— | (E) 脅威に関連する犯罪を防止、調査、妨害、または起訴する目的 |
(i) described in subparagraphs (B) through (D); or | (i) (B)号から(D)号に記載されているもの、または |
(ii) specified in section 105(d)(5)(A)(v) of the Cybersecurity Act of 2015 (enacted as division N of the Consolidated Appropriations Act, 2016 (Public Law 114–113; 6 U.S.C. 1504(d)(5)(A)(v))). | (ii) Cybersecurity Act of 2015(2016年連結歳出法(公法114-113;6 U.S.C. 1504(d)(5)(A)(v))の105(d)(5)(A)(v)項として制定された)において特定される |
(2) EXCEPTIONS.— | (2)例外.- |
(A) RAPID, CONFIDENTIAL, BI-DIRECTIONAL SHARING OF CYBER THREAT INDICATORS.—Upon receiving a covered cybersecurity incident report submitted pursuant to this section, the Office shall immediately review such report to determine whether the incident that is the subject of such report is connected to an ongoing cybersecurity threat or security vulnerability and where applicable, use such report to identify, develop, and rapidly disseminate to appropriate stakeholders actionable, anonymized cyber threat indicators and defensive measures. | (A) サイバー脅威指標の迅速、秘密、双方向の共有:本節に従って提出された対象となるサイバーセキュリティインシデント報告書を受け取った場合、事務局は直ちに当該報告書を確認し、当該報告書の対象であるインシデントが進行中のサイバーセキュリティ脅威またはセキュリティ脆弱性に関連しているかどうかを判断し、該当する場合、当該報告書を利用して、実行可能で匿名化したサイバー脅威指標と防御手段を特定、開発、および該当する関係者に迅速に普及させなければならない。 |
(B) PRINCIPLES FOR SHARING SECURITY VULNERABILITIES.—With respect to information in a covered cybersecurity incident report regarding a security vulnerability referred to in paragraph (1)(B)(ii), the Director shall develop principles that govern the timing and manner in which information relating to security vulnerabilities may be shared, consistent with common industry best practices and United States and international standards. | (B) セキュリティ脆弱性の共有に関する原則 - (1)(B)(ii)に言及するセキュリティ脆弱性に関する対象サイバーセキュリティインシデント報告書の情報に関して、長官は、共通の業界ベストプラクティスおよび米国および国際基準と整合する、セキュリティ脆弱性に関する情報を共有できるタイミングおよび方法を規定する原則を策定するものとする。 |
(3) PRIVACY AND CIVIL LIBERTIES.—Information contained in reports submitted to the Office pursuant to subsections (d) and (h) shall be retained, used, and disseminated, where permissible and appropriate, by the Federal Government in a manner consistent with processes for the protection of personal information adopted pursuant to section 105 of the Cybersecurity Act of 2015 (enacted as division N of the Consolidated Appropriations Act, 2016 (Public Law 114–113; 6 U.S.C. 1504)). | (3) PRIVACY AND CIVIL LIBERTIES:(d)項および(h)項に従って事務局に提出された報告書に含まれる情報は、許容かつ適切な場合には、2015年のサイバーセキュリティ法(2016年の連結歳出法(公法114-113;6 U.S.C. 1504)の部門Nとして制定)の105項に従って採択された個人情報保護プロセスに整合する方法で連邦政府が保持、使用および普及させるものとする。 |
(4) PROHIBITION ON USE OF INFORMATION IN REGULATORY ACTIONS.— | (4) 規制措置における情報の使用禁止- |
(A) IN GENERAL.—Information contained in reports submitted to the Office pursuant to subsections (d) and (h) may not be used by any Federal, State, Tribal, or local government to regulate, including through an enforcement action, the lawful activities of any non-Federal entity. | (A) 一般に、(d) および (h) 項に従って事務局に提出された報告書に含まれる情報は、連邦、州、部族、または地方政府が、連邦以外の団体の合法的活動を、強制措置によるものを含めて規制するために使用することはできません。 |
(B) EXCEPTION.—A report submitted to the Agency pursuant to subsection (d) or (h) may, consistent with Federal or State regulatory authority specifically relating to the prevention and mitigation of cybersecurity threats to information systems, inform the development or implementation of regulations relating to such systems. | (B) 例外 - (d)または(h)に従って庁に提出された報告書は、情報システムに対するサイバーセキュリティの脅威の防止および軽減に特に関連する連邦または州の規制当局と一致し、当該システムに関する規制の策定または実施に情報を与えることができます。 |
(f) Protections For Reporting Entities And Information.—Reports describing covered cybersecurity incidents submitted to the Office by covered entities in accordance with subsection (d), as well as voluntarily-submitted cybersecurity incident reports submitted to the Office pursuant to subsection (h), shall be— | (f) 報告主体および情報の保護: (d)項に従って対象主体が事務局に提出した、対象となるサイバーセキュリティインシデントを記述する報告書、および(h)項に従って事務局に提出された自発的に提出されたサイバーセキュリティインシデント報告書は、以下のとおりとする。 |
(1) entitled to the protections against liability described in section 106 of the Cybersecurity Act of 2015 (enacted as division N of the Consolidated Appropriations Act, 2016 (Public Law 114–113; 6 U.S.C. 1505)); | (1) 2015年サイバーセキュリティ法(2016年連結歳出法(公法114-113;6 U.S.C. 1505)の部門Nとして制定)の第106条に記載された責任に対する保護を受けることができます。 |
(2) exempt from disclosure under section 552 of title 5, United States Code, as well as any provision of State, Tribal, or local freedom of information law, open government law, open meetings law, open records law, sunshine law, or similar law requiring disclosure of information or records; and | (2) 米国法典第5編第552節、ならびに州、部族、または地域の情報自由法、公開政府法、公開会議法、公開記録法、日光法、または情報または記録の開示を要求する類似法の規定に基づいて開示が免除されるもの、および |
(3) considered the commercial, financial, and proprietary information of the covered entity when so designated by the covered entity. | (3) 対象事業者が指定した場合、対象事業者の商業、財務及び専有情報とみなされる。 |
(g) Noncompliance With Required Reporting.— | (g) 報告義務の不履行 |
(1) PURPOSE.—In the event a covered entity experiences a cybersecurity incident but does not comply with the reporting requirements under this section, the Director may obtain information about such incident by engaging directly such covered entity in accordance with paragraph (2) to request information about such incident, or, if the Director is unable to obtain such information through such engagement, by issuing a subpoena to such covered entity, subject to paragraph (3), to gather information sufficient to determine whether such incident is a covered cybersecurity incident, and if so, whether additional action is warranted pursuant to paragraph (4). | (1) 目的。 -対象事業者がサイバーセキュリティインシデントを経験したにもかかわらず、本条に基づく報告要件を遵守しない場合、長官は、当該インシデントに関する情報を要求するために、段落(2)に従って当該対象事業者に直接関与することにより、又は長官が当該関与を通じて当該情報を取得できない場合、段落(3)に従って当該対象事業者に対して召喚状を発し、当該インシデントが対象サイバーセキュリティインシデントであるかどうか、もし、そうなら、段落(4)に基づいて追加行動が保証されるかどうかを決定するに十分な情報を収集することによって、当該インシデントに関する情報を入手することができます。 |
(2) INITIAL REQUEST FOR INFORMATION.— | (2) 最初の情報提供の要請 |
(A) IN GENERAL.—If the Director has reason to believe, whether through public reporting, intelligence gathering, or other information in the Federal Government’s possession, that a covered entity has experienced a cybersecurity incident that may be a covered cybersecurity incident but did not submit pursuant to subsection (d) to the Office a covered cybersecurity incident report relating thereto, the Director may request information from such covered entity to confirm whether the cybersecurity incident at issue is a covered cybersecurity incident, and determine whether further examination into the details surrounding such incident are warranted pursuant to paragraph (4). | (a) 一般的に。 -公開報告、情報収集、または連邦政府が保有する他の情報によるかどうかにかかわらず、ある対象事業者が、対象となるサイバーセキュリティインシデントである可能性のあるサイバーセキュリティインシデントを経験したが、それに関連する対象となるサイバーセキュリティインシデント報告書を第(d)項に従って事務局に提出していないと信じる理由がある場合、長官は、問題となるサイバーセキュリティインシデントが対象のサイバーセキュリティインセスであるかを確認し、当該インシデントの周囲の詳細に対するさらなる調査が第(4)項に基づき保証されているかどうかを判断するために、当該対象事業者に情報を要請できるものとす。 |
(B) TREATMENT.—Information provided to the Office in response to a request under subparagraph (A) shall be treated as if such information was submitted pursuant to the reporting procedures established in accordance with subsection (d). | (B) 取り扱い:(A)項に基づく要請に応じて事務局に提供された情報は、当該情報が(d)項に従って確立された報告手続に従って提出されたものとして取り扱われる。 |
(3) AUTHORITY TO ISSUE SUBPOENAS.— | (3) 召喚状を発行する権限。 |
(A) IN GENERAL.—If, after the date that is seven days from the date on which the Director made a request for information in paragraph (2), the Director has received no response from the entity from which such information was requested, or received an inadequate response, the Director may issue to such entity a subpoena to compel disclosure of information the Director considers necessary to determine whether a covered cybersecurity incident has occurred and assess potential impacts to national security, economic security, or public health and safety, determine whether further examination into the details surrounding such incident are warranted pursuant to paragraph (4), and if so, compel disclosure of such information as is necessary to carry out activities described in subsection (c). | (a) 全般的に。 -(a)一般に、局長が(2)の情報の要求を行った日から7日後の日付以降、局長が当該情報を要求された事業者から何の応答も受けないか、不十分な応答を受けた場合、局長は当該事業者に対して、対象サイバーセキュリティインシデントが発生したかどうかを判断し、国家安全保障に対する潜在的影響を評価するために必要だと局長が考える情報の開示を強制する召喚状を発布できるものとす。(4)に従い、当該事象の詳細をさらに調査することが正当化されるかどうかを判断し、正当化される場合には、(c)に記載の活動を実施するために必要な情報を強制的に開示させる。 |
(B) CIVIL ACTION.—If a covered entity does not comply with a subpoena, the Director may bring a civil action in a district court of the United States to enforce such subpoena. An action under this paragraph may be brought in the judicial district in which the entity against which the action is brought resides, is found, or does business. The court may punish a failure to obey an order of the court to comply with the subpoena as a contempt of court. | (B) 民事訴訟-対象事業者が召喚に従わない場合、長官は当該召喚を執行するために米国の地方裁判所において民事訴訟を提起することができる。本項に基づく訴訟は、訴訟を起こす団体が居住、所在、または事業を行っている司法地区において提起することができる。裁判所は、召喚令状に従うという裁判所の命令に従わない場合、法廷侮辱罪として処罰することができます。 |
(C) NON-APPLICABILITY OF PROTECTIONS.—The protections described in subsection (f) do not apply to a covered entity that is the recipient of a subpoena under this paragraph (3). | (C) 保護の非適用性: (f)項に記載された保護は、本(3)項に基づく召喚状の受領者である対象事業体には適用されない。 |
(4) ADDITIONAL ACTIONS.— | (4)追加措置 |
(A) EXAMINATION.—If, based on the information provided in response to a subpoena issued pursuant to paragraph (3), the Director determines that the cybersecurity incident at issue is a significant cyber incident, or is part of a group of related cybersecurity incidents that together satisfy the definition of a significant cyber incident, and a more thorough examination of the details surrounding such incident is warranted in order to carry out activities described in subsection (c), the Director may direct the Office to conduct an examination of such incident in order to enhance the Agency’s situational awareness of cybersecurity threats across critical infrastructure sectors, in a manner consistent with privacy and civil liberties protections under applicable law. | (a) 調査。 -第(3)項に従って発行された召喚状に応じて提供された情報に基づき、局長が、問題となっているサイバーセキュリティインシデントが重大なサイバーインシデントであるか、または共に重大なサイバーインシデントの定義を満たす関連サイバーセキュリティインシデントのグループの一部であると決定した場合。および、第(c)項に記載された活動を実施するために、当該インシデントを取り巻く詳細のより徹底した調査が正当化される場合、長官は、適用法に基づくプライバシーおよび市民の自由の保護と一貫した方法で、重要インフラ部門全体のサイバーセキュリティ脅威に関する庁の状況認識を強化するために、当該インシデントに関する調査を実施することを事務局に指示することができる。 |
(B) PROVISION OF CERTAIN INFORMATION TO ATTORNEY GENERAL.—Notwithstanding subsection (e)(4) and paragraph (2)(B), if the Director determines, based on the information provided in response to a subpoena issued pursuant to paragraph (3) or identified in the course of an examination under subparagraph (A), that the facts relating to the cybersecurity incident at issue may constitute grounds for a regulatory enforcement action or criminal prosecution, the Director may provide such information to the Attorney General or the appropriate regulator, who may use such information for a regulatory enforcement action or criminal prosecution. | (b) 司法長官への特定の情報の提供。 -第(e)項(4)および第(2)項(B)にかかわらず、局長が、第(3)項に従って発行された召喚状に応じて提供された情報または第(A)項に基づく調査の過程で特定された情報に基づき、問題となっているサイバーセキュリティインシデントに関する事実が規制執行措置または刑事訴追の根拠となり得ると判断した場合、局長は司法長官または関係規制当局に当該情報を提供でき、当該規制執行措置または刑事訴追に使用できるものとす。 |
(h) Voluntary Reporting Of Cyber Incidents.—The Agency shall receive cybersecurity incident reports submitted voluntarily by entities that are not covered entities, or concerning cybersecurity incidents that do not satisfy the definition of covered cybersecurity incidents but may nevertheless enhance the Agency’s situational awareness of cybersecurity threats across critical infrastructure sectors. The protections under this section applicable to covered cybersecurity incident reports shall apply in the same manner and to the same extent to voluntarily-submitted cybersecurity incident reports under this subsection. | (h) サイバーインシデントの自主的な報告:当局は、対象事業者ではない事業者から自主的に提出された、または対象となるサイバーセキュリティインシデントの定義を満たさないものの、重要インフラ部門全体のサイバーセキュリティ脅威に対する当局の状況認識を高める可能性があるサイバーセキュリティインシデントに関するサイバーセキュリティインシデント報告を受け取るものとす。対象サイバーセキュリティインシデント報告に適用される本節の保護は、本節に基づき自主的に提出されたサイバーセキュリティインシデント報告にも同じ方法及び同じ程度に適用されるものとする。 |
(i) Notification To Impacted Covered Entities.—If the Director receives information regarding a cybersecurity incident impacting a Federal agency relating to unauthorized access to data provided to such Federal agency by a covered entity, and with respect to which such incident is likely to undermine the security of such covered entity or cause operational or reputational damage to such covered entity, the Director shall, to the extent practicable, notify such covered entity and provide to such covered entity such information regarding such incident as is necessary to enable such covered entity to address any such security risk or operational or reputational damage arising from such incident. | (i) 影響を受ける対象事業者への通知。 -長官が、対象事業者が当該連邦機関に提供したデータへの不正アクセスに関連する、連邦機関に影響を与えるサイバーセキュリティインシデントに関する情報を受領し、当該インシデントが当該対象事業者のセキュリティを損なうか、当該対象事業者に業務上または風評上の損害を与える可能性がある場合、長官は、実行可能な範囲で、当該対象事業者に通知し、当該対象事業者が当該インシデントから生じるセキュリティリスクまたは業務上または風評上の損害に対処できるよう、必要である当該情報に関する情報を当該対象事業に提供するものとす。 |
(k) Saving Provision.—Nothing in this section may be construed as modifying, superseding, or otherwise affecting in any manner any regulatory authority held by a Federal department or agency, including Sector Risk Management Agencies, existing on the day before the date of the enactment of this section, or any existing regulatory requirements or obligations that apply to covered entities.”. | (k) 保存規定-本節のいかなる内容も、本節の制定日の前日に存在する、セクターリスク管理機関を含む連邦省庁が有する規制権限、または対象事業体に適用される既存の規制要件または義務を修正、優先、または何らかの形で影響を与えると解釈してはならない」。 |
(b) Reports.— | (b) 報告書 |
(1) ON STAKEHOLDER ENGAGEMENT.—Not later than 30 days before the date on which that the Director of the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security intends to issue an interim final rule under subsection (d)(1) of section 2220A of the Homeland Security Act of 2002 (as added by subsection (a)), the Director shall submit to the Committee on Homeland Security of the House of Representatives and the Committee on Homeland Security and Governmental Affairs of the Senate a report that describes how the Director engaged stakeholders in the development of such interim final rules. | (1) ステークホルダーの関与に関するもの。 -国土安全保障省サイバーセキュリティ・インフラ安全保障局局長は、2002年国土安全保障法第2220A条(第(a)項により追加)(d)項(1)に基づく中間最終規則を発行しようとする日の30日前までに、局長が当該中間最終規則の策定において利害関係者といかに関わったかを記述した報告書を下院国土安全保障委員会と上院国土安全保障・政府問題委員会に提出するものとする。 |
(2) ON OPPORTUNITIES TO STRENGTHEN CYBERSECURITY RESEARCH.—Not later than one year after the date of the enactment of this Act, the Director of the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security shall submit to the Committee on Homeland Security of the House of Representatives and the Committee on Homeland Security and Governmental Affairs of the Senate a report describing how the Cyber Incident Review Office of the Department of Homeland Security (established pursuant to section 2220A of the Homeland Security Act of 2002, as added by subsection (a)) has carried out activities under subsection (c)(6) of such section 2220A by proactively identifying opportunities to use cybersecurity incident data to inform and enable cybersecurity research carried out by academic institutions and other private sector organizations. | (2) サイバーセキュリティの研究を強化する機会について。 -この法律の制定日から1年以内に、国土安全保障省のサイバーセキュリティおよびインフラセキュリティ庁の長官は、国土安全保障省のサイバーインシデント審査室(2002年の国土安全保障法2220A条に従って設立された)がどのように国土安全保障省を審査したかを説明する報告書を下院の国土安全保障委員会と上院の国土安全保障および政府関係委員会に提出するものとする。(a)項によって追加された)学術機関およびその他の民間組織が実施するサイバーセキュリティ研究に情報を提供し可能にするためにサイバーセキュリティインシデントデータを使用する機会を積極的に特定することによって、当該セクション2220A (c)(6)の活動を実施する。 |
(c) Title XXII Technical And Clerical Amendments.— | (c) タイトルXXII 技術的および事務的な修正。 |
(1) TECHNICAL AMENDMENTS.— | (1) 技術的な修正 |
(A) HOMELAND SECURITY ACT OF 2002.—Subtitle A of title XXII of the Homeland Security Act of 2002 (6 U.S.C. 651 et seq.) is amended— | (A) HOMELAND SECURITY ACT OF 2002.-Homeland Security Act of 2002 (6 U.S.C. 651 et seq.) のタイトル XXII のサブタイトルAは、以下のように修正される。 |
(i) in section 2202 (6 U.S.C. 652)— | (i) 2202節(6 U.S.C. 652)において |
(I) in paragraph (11), by striking “and” after the semicolon; | (I) 第(11)項において、セミコロンの後の「および」を削除すること。 |
(II) in the first paragraph (12) (relating to appointment of a Cybersecurity State Coordinator) by striking “as described in section 2215; and” and inserting “as described in section 2217;”; | (II) 第(12)項(サイバーセキュリティ国家調整官の任命に関連する)において、「第2215項に記載されているとおり、及び」を削除し、「第2217項に記載されているとおり、及び」を挿入すること。 |
(III) by redesignating the second paragraph (12) (relating to the .gov internet domain) as paragraph (13); and | (III) 第二段落(12)(related to the .gov internet domain)を段落(13)として再指定すること。 |
(IV) by redesignating the third paragraph (12) (relating to carrying out such other duties and responsibilities) as paragraph (14); | (IV) 第3パラグラフ(12)(その他の任務および責任の遂行に関するもの)をパラグラフ(14)と改める。 |
(ii) in the first section 2215 (6 U.S.C. 665; relating to the duties and authorities relating to .gov internet domain), by amending the section enumerator and heading to read as follows: | (ii) 第2215節(6 U.S.C. 665; relating the duties and authorities to .gov internet domain)において、節の列挙者と見出しを以下のように修正することにより、最初の節を読み替える。 |
SEC. 2215. DUTIES AND AUTHORITIES RELATING TO .GOV INTERNET DOMAIN”; | SEC. 2215. .gov インターネット・ドメインに関する任務および権限"。 |
(iii) in the second section 2215 (6 U.S.C. 665b; relating to the joint cyber planning office), by amending the section enumerator and heading to read as follows: | (iii) 第2215節(6 U.S.C. 665b;合同サイバー計画事務所に関する)において、節の列挙者と見出しを以下のように修正することにより、以下のように読み替える。 |
SEC. 2216. JOINT CYBER PLANNING OFFICE”; | SEC. 2216. Joint Cyber Planning Office」(合同サイバー計画事務所)。 |
(iv) in the third section 2215 (6 U.S.C. 665c; relating to the Cybersecurity State Coordinator), by amending the section enumerator and heading to read as follows: | (iv) 第2215条(6 U.S.C. 665c;サイバーセキュリティ国家調整官に関する)において、節の列挙者及び見出しを以下のように修正することにより、以下のように読み替える。 |
SEC. 2217. CYBERSECURITY STATE COORDINATOR”; | SEC. 2217. Cybersecurity State Coordinator」。 |
(v) in the fourth section 2215 (6 U.S.C. 665d; relating to Sector Risk Management Agencies), by amending the section enumerator and heading to read as follows: | (v) 第四節2215(6 U.S.C. 665d;セクターリスク管理機関に関する)において、節の列挙者及び見出しを以下のように修正することにより、読みやすくする。 |
SEC. 2218. SECTOR RISK MANAGEMENT AGENCIES”; | SEC. 2218. セクター・リスク・マネージメント機関」。 |
(vi) in section 2216 (6 U.S.C. 665e; relating to the Cybersecurity Advisory Committee), by amending the section enumerator and heading to read as follows: | (vi) 第2216条(6 U.S.C. 665e;サイバーセキュリティ諮問委員会に関する)において、節の列挙者及び見出しを以下のように修正することにより、読みやすくする。 |
SEC. 2219. CYBERSECURITY ADVISORY COMMITTEE”; | SEC. 2219. Cybersecurity Advisory Committee」(サイバーセキュリティ諮問委員会)。 |
and | および |
(vii) in section 2217 (6 U.S.C. 665f; relating to Cybersecurity Education and Training Programs), by amending the section enumerator and heading to read as follows: | (vii) 第2217条(6 U.S.C. 665f;サイバーセキュリティ教育・訓練プログラムに関する)において、セクション列挙者と見出しを以下のように修正することにより、読みやすくする。 |
SEC. 2220. CYBERSECURITY EDUCATION AND TRAINING PROGRAMS”. | SEC. 2220. Cybersecurity Education and Training Program"。 |
(B) CONSOLIDATED APPROPRIATIONS ACT, 2021.—Paragraph (1) of section 904(b) of division U of the Consolidated Appropriations Act, 2021 (Public Law 116–260) is amended, in the matter preceding subparagraph (A), by inserting “of 2002” after “Homeland Security Act”. | (B) CONSOLIDATED APPROPRIATIONS ACT, 2021.-2021 年統合歳出法(公法 116-260)の第 U 部門 904(b) 項の (1) は、 (A) 項の前の事項において、「Homeland Security Act」の後に「2002 年の」を挿入して修正される。 |
(2) CLERICAL AMENDMENT.—The table of contents in section 1(b) of the Homeland Security Act of 2002 is amended by striking the items relating to sections 2214 through 2217 and inserting the following new items: | (2) 暫定的修正:2002年国土安全保障法第1節(b)の目次は、第2214条から第2217条に関連する項目を削除し、以下の新しい項目を挿入することにより修正される。 |
Sec. 2214. National Asset Database. | 第2214条 国家資産データベース |
Sec. 2215. Duties and authorities relating to .gov internet domain. | 第2215条 .govインターネットドメインに関する任務と権限 |
Sec. 2216. Joint cyber planning office. | 第2216条 合同サイバー計画事務所 |
Sec. 2217. Cybersecurity State Coordinator. | 第2217条 サイバーセキュリティ・ステートコーディネーター |
Sec. 2218. Sector Risk Management Agencies. | 第2218条 セクターリスク管理機関 |
Sec. 2219. Cybersecurity Advisory Committee. | 第2219条 サイバーセキュリティ諮問委員会 |
Sec. 2220. Cybersecurity Education and Training Programs. | 第2220条 サイバーセキュリティ教育・訓練プログラム |
Sec. 2220A. Cyber Incident Review Office.”. | 第2220条A項 サイバーインシデント審査室(Cyber Incident Review Office)」 |
関連法案
・H.R.4350 - National Defense Authorization Act for Fiscal Year 2022
● まるちゃんの助法セキュリティ気まぐれ日記
・2022.03.06 米国 S.3600 - Strengthening American Cybersecurity Act of 2022案が上院で可決
・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案
Comments